Allgemeine Datenschutzverordnung der Europäischen Union und Nachtrag zur Datenübermittlung

“`html

ZUSATZVEREINBARUNG ZUR DATENWEITERGABE

(einschließlich EU-Standardvertragsklauseln)

Diese Zusatzvereinbarung zur Datenweitergabe (die „Zusatzvereinbarung zur Datenweitergabe“) ist Bestandteil der Vereinbarung zwischen Guidepoint und dem Kunden (wie unten definiert) (den „Parteien“). Die in dieser Zusatzvereinbarung zur Datenweitergabe verwendeten, großgeschriebenen Begriffe haben die in dem unten stehenden Absatz ‎1 angegebene Bedeutung, oder, falls sie hierin nicht definiert sind, die in der Vereinbarung festgelegte Bedeutung. Wenn ein großgeschriebener Begriff weder hierin noch in der Vereinbarung definiert ist, hat er die gleiche Bedeutung wie die entsprechenden kleingeschriebenen Begriffe, die in den Standardvertragsklauseln verwendet werden.

Der Kunde schließt diese Zusatzvereinbarung zur Datenweitergabe für sich selbst und im Namen seiner verbundenen Unternehmen ab, die als Übermittelnde Kundenunternehmen (wie unten definiert) handeln.

1. Definitionen

1.1 Die folgenden großgeschriebenen Begriffe in dieser Zusatzvereinbarung zur Datenweitergabe haben die unten definierte Bedeutung:

„Berater“ bezeichnet Personen, die als Praktiker, Fachleute und Akademiker in verschiedenen Branchen tätig sind und über die Mitgliedschaft bei Guidepoint Global Advisors Beratungsleistungen für die Kunden von Guidepoint erbringen.

„Verbundenes Unternehmen“ bezeichnet in Bezug auf ein Unternehmen jede direkte oder indirekte Tochter- oder Holdinggesellschaft dieses Unternehmens oder jede direkte oder indirekte Tochtergesellschaft einer solchen Holdinggesellschaft.

„Kunde“ bezeichnet eine juristische oder natürliche Person, die mit Guidepoint eine schriftliche Vereinbarung über die Erbringung bestimmter Dienstleistungen durch Guidepoint geschlossen hat.

„Personenbezogene Kundendaten“ bezeichnet Personenbezogene Daten, die der Kunde Guidepoint oder seinen Verbundenen Unternehmen gemäß der Vereinbarung zur Verfügung stellt.

„Verantwortlicher“ bezeichnet eine Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

„Datenexporteur“ bezeichnet die Partei, die Personenbezogene Daten aus einem Erweiterten EWR-Land übermittelt.

„Datenimporteur“ bezeichnet eine Partei, die Personenbezogene Daten von einem Datenexporteur aus einem Drittland erhält.

„Datenschutzgesetze“ bezeichnet alle Gesetze und Vorschriften, die für die Verarbeitung Personenbezogener Daten im Rahmen der Vereinbarung gelten, einschließlich der UK-Datenschutz-Grundverordnung (UK GDPR), des britischen Datenschutzgesetzes von 2018 (DPA 2018), der DSGVO und anderer Gesetze und Vorschriften der Europäischen Union, des EWR und ihrer Mitgliedstaaten sowie des Vereinigten Königreichs in Bezug auf die Verarbeitung personenbezogener Daten und den Datenschutz.

„Betroffene Person“ bezeichnet die Person, auf die sich die Personenbezogenen Daten beziehen.

„Antrag einer Betroffenen Person“ bezeichnet den Antrag einer Betroffenen Person auf Ausübung ihrer Rechte gemäß den Datenschutzgesetzen in Bezug auf die Personenbezogenen Daten dieser Person, einschließlich, aber nicht beschränkt auf das Recht auf Zugriff, Berichtigung, Änderung, Übermittlung, Erhalt einer Kopie, Widerspruch gegen die Verarbeitung, Sperrung oder Löschung dieser Personenbezogenen Daten.

„EWR“ bezeichnet den Europäischen Wirtschaftsraum.

„EU“ bezeichnet die Europäische Union.

„Erweitertes EWR-Land“ bezeichnet ein Land innerhalb des EWR, Island, Liechtenstein oder Norwegen, und „Erweiterte EWR-Länder“ bezeichnet die vorgenannten Länder zusammen.

„Personenbezogene Daten im erweiterten EWR“ bezeichnet Personenbezogene Daten, deren Verarbeitung den Datenschutzgesetzen des jeweiligen Erweiterten EWR-Landes unterliegt.

„Erweitertes Nicht-EWR-Land“ bezeichnet die Schweiz; oder das Vereinigte Königreich.

„DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Datenschutz-Grundverordnung).

„Personenbezogene Daten von Guidepoint“ bezeichnet alle Personenbezogenen Daten, die Guidepoint dem Kunden und/oder seinen Verbundenen Unternehmen gemäß der Vereinbarung zur Verfügung stellt.

„Guidepoint“ bezeichnet Guidepoint Global, LLC oder die in der Vereinbarung genannte entsprechende Guidepoint-Gesellschaft.

„Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Identifikationsnummer oder zu einem oder mehreren Merkmalen, die Ausdruck der physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind).

„Verletzung des Schutzes personenbezogener Daten“ bezeichnet eine Sicherheitsverletzung, die zur versehentlichen, unbefugten oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, Offenlegung, zum Zugriff auf oder zur Verschlüsselung von übermittelten, gespeicherten oder anderweitig Verarbeiteten Personenbezogenen Daten geführt hat oder mit hinreichender Wahrscheinlichkeit dazu führen wird.

„Verarbeitung“ oder „Verarbeiten“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit Personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies mit automatisierten Mitteln geschieht, wie z. B. Erhebung, Erfassung, Organisation, Speicherung, Anpassung oder Änderung, Abruf, Abfrage, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Abgleich oder Verknüpfung, Sperrung, Löschung oder Vernichtung.

„Standardvertragsklauseln“ bezeichnet die Standardvertragsklauseln für die Übermittlung PersonenBezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, die durch den Beschluss der Europäischen Kommission vom 4. Juni 2021 angenommen und unter der Dokumentennummer C(2021) 3972 veröffentlicht wurde (verfügbar unter https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?amp%3Buri=CELEX%3A32021D0914&eliuri=eli%3Adec_impl%3A2021%3A914%3Aoj&locale=de).

„Drittland“ bezeichnet ein Land, das gemäß den Datenschutzgesetzen des jeweiligen Erweiterten EWR-Landes nicht als geeignet erachtet wird, Erweiterte Personenbezogene Daten aus dem EWR zu empfangen.

„Übermittelnde Kundengesellschaft“ bezeichnet den Kunden oder eines seiner Verbundenen Unternehmen, das Erweiterte Personenbezogene Daten aus dem EWR direkt an Guidepoint überträgt oder die Übermittlung dieser Daten ermöglicht.

„Übermittelte Personenbezogene Daten“ bezeichnet die Personenbezogenen Kundendaten und/oder die Personenbezogenen Daten von Guidepoint, bei denen es sich auch um Erweiterte Personenbezogene Daten aus dem EWR handelt und die (a) von der Übermittelnden Kundengesellschaft an Guidepoint oder (b) von Guidepoint an den Kunden (je nach Anwendbarkeit) gemäß dieser Zusatzvereinbarung zur Datenweitergabe übermittelt werden.

„UK-Zusatzvereinbarung“ bezeichnet die vom britischen Information Commissioner’s Office herausgegebene und dem Parlament gemäß Abschnitt 119A des Data Protection Act 2018 am 2. Februar 2022 vorgelegte Muster-Zusatzvereinbarung B1.0, die am 21. März 2022 in Kraft getreten ist, in der Fassung, die gemäß Abschnitt 18 der UK-Musterklauseln überarbeitet wurde (verfügbar unter international-data-transfer-addendum.pdf (ico.org.uk)).

„UK GDPR“ bezeichnet die DSGVO in der durch das European Union (Withdrawal) Act 2018 und das European Union (Withdrawal Agreement) Act 2020 geänderten und in das Recht des Vereinigten Königreichs umgesetzten Fassung.

„UK-Musterklauseln“ bezeichnet die verbindlichen Klauseln der UK-Zusatzvereinbarung, die von Zeit zu Zeit aktualisiert und durch die vom Information Commissioner’s Office veröffentlichte endgültige Version ersetzt werden.

2. Unabhängige Datenverantwortliche

2.1 Die Parteien erkennen an und stimmen überein, dass sie jeweils als unabhängige Verantwortliche im Hinblick auf die Verarbeitung der Übermittelten Personenbezogenen Daten handeln werden.

2.2 Jede Partei ist für die Einhaltung der Pflichten verantwortlich, die einem Verantwortlichen gemäß den Datenschutzgesetzen auferlegt werden, einschließlich der Vornahme von Registrierungen und/oder der Einholung von Genehmigungen, die gemäß den Datenschutzgesetzen im Zusammenhang mit dem jeweiligen Empfang und der Verarbeitung der im Rahmen dieser Vereinbarung Übermittelten Personenbezogenen Daten erforderlich sind.

2.3 Jede Partei ist dafür verantwortlich sicherzustellen, dass vor der Übermittlung von Personenbezogenen Daten von Guidepoint oder Personenbezogenen Daten von Kunden an die andere Partei die Übermittelnde Partei gewährleistet, dass die jeweiligen Betroffenen Personen (sofern dies nach den Datenschutzgesetzen erforderlich ist) über die Übermittlung informiert wurden.

2.4 Der Zweck der Verarbeitung PersonenBezogener Daten von Guidepoint durch den Kunden besteht darin, seine Verpflichtungen gemäß der Vereinbarung zu erfüllen, sowie in den in Anhang 1 (Einzelheiten zur Datenverarbeitung) näher beschriebenen Zwecken (zusammenfassend als „Zweck“ bezeichnet). Die Arten der im Rahmen der Vereinbarung Verarbeiteten Personenbezogenen Daten und die Kategorien der Betroffenen Personen sind in Anhang 1 (Einzelheiten zur Datenverarbeitung) näher beschrieben.

3. Verpflichtungen des Kunden

3.1 Der Kunde ist verpflichtet:

(a) die Personenbezogenen Daten von Guidepoint ausschließlich zur Erfüllung des Zwecks zu verarbeiten, dies stets in Übereinstimmung mit den Datenschutzgesetzen zu tun und die Personenbezogenen Daten von Guidepoint nicht mit anderen Daten zu kombinieren oder sie in einer Weise zu verwenden, die der Vereinbarung widerspricht oder die Interessen, Grundrechte und Freiheiten der Betroffenen Personen beeinträchtigen könnte;

(b) geeignete verfahrenstechnische, technische und organisatorische Maßnahmen zu ergreifen, um die unrechtmäßige Offenlegung, die unbefugte Verarbeitung oder den versehentlichen Verlust, die Zerstörung, Beschädigung oder Veränderung der Personenbezogenen Daten von Guidepoint zu verhindern, solange sich diese in seinem Besitz oder unter seiner Kontrolle befinden;

(c) vorbehaltlich angemessener und geeigneter Vertraulichkeitsvereinbarungen, Guidepoint (oder seinem bevollmächtigten Vertreter) die Einsichtnahme in und die Überprüfung seiner Datenverarbeitungsaktivitäten (und/oder derjenigen seiner Beauftragten, Tochtergesellschaften und/oder Subunternehmer, die Personenbezogene Daten von Guidepoint im Auftrag des Kunden verarbeiten) zu gestatten und allen angemessenen Anfragen oder Anweisungen von Guidepoint nachzukommen, damit Guidepoint überprüfen und/oder sicherstellen kann, dass der Kunde seinen Datenschutzverpflichtungen gemäß der Vereinbarung vollständig nachkommt, und die von Guidepoint nach einer solchen Überprüfung angemessen geforderten Abhilfemaßnahmen zu ergreifen;

(d) die Verarbeitung der Personenbezogenen Daten von Guidepoint einzustellen, wenn Guidepoint dies verlangt, falls der Kunde gegen die Vereinbarung verstößt;

(e) im Falle der Beendigung der Vereinbarung aus welchem Grund auch immer oder auf schriftliche Anfrage von Guidepoint gemäß dem oben genannten Absatz ‎3.1(d) unverzüglich die Verarbeitung aller von Guidepoint oder in dessen Auftrag im Rahmen der Vereinbarung erhaltenen Personenbezogenen Daten von Guidepoint einzustellen und alle in seinem Besitz oder unter seiner Kontrolle befindlichen Personenbezogenen Daten von Guidepoint an Guidepoint zurückzugeben oder (nach Ermessen von Guidepoint) zu vernichten (es sei denn, geltende Gesetze erfordern die weitere Speicherung dieser Personenbezogenen Daten von Guidepoint);

(f) Guidepoint unverzüglich über jede tatsächliche oder potenzielle Verletzung des Schutzes Personenbezogener Daten, Beschwerde oder Anfrage Betroffener Personen im Zusammenhang mit der Nutzung der Personenbezogenen Daten von Guidepoint durch ihn (oder seine Beauftragten oder Unterauftragnehmer) zu informieren und Guidepoint auf Anfrage unverzüglich Einzelheiten darüber mitzuteilen, wie er auf die Verletzung des Schutzes Personenbezogener Daten reagiert und die Beschwerde oder Anfrage Betroffener Personen bearbeitet; und

(g) ordnungsgemäße Aufzeichnungen über die gesamte Verarbeitung der Personenbezogenen Daten von Guidepoint zu führen.

4. Datenübermittlungen

Anwendung der Standardvertragsklauseln

4.1 Wenn:

(a) eine Übermittelnde Kundengesellschaft (als Datenexporteur) Übermittelte Personenbezogene Daten direkt an Guidepoint (als Datenimporteur) in einem Drittland übermittelt oder die Übermittlung dieser Daten erleichtert; oder

(b) Guidepoint (als Datenexporteur) Übermittelte Personenbezogene Daten an den Kunden oder seine verbundenen Unternehmen (als Datenimporteur) in einem Drittland übermittelt oder die Übermittlung dieser Daten erleichtert, gelten die Standardvertragsklauseln, wie in Absatz 4.4 unten dargelegt, es sei denn, es gilt ein anderer Exportrahmen oder eine von den Datenschutzgesetzen des jeweiligen Erweiterten EWR-Landes anerkannte Ausnahmeregelung für den Datenexport. Im Zusammenhang mit den Standardvertragsklauseln können die Vertragsparteien der Standardvertragsklauseln jeweils als Datenimporteur und/oder Datenexporteur und/oder Verantwortlicher agieren, jeweils wie in Absatz 4.4 unten dargelegt.

4.2 Wenn eine Übermittelnde Kundengesellschaft Übermittelte Personenbezogene Daten an Guidepoint übermittelt, das nicht in einem Drittland ansässig ist, finden die Standardvertragsklauseln keine Anwendung. In solchen Fällen ist Guidepoint dafür verantwortlich, sicherzustellen, dass jeder Export dieser Übermittelten Personenbezogenen Daten durch Guidepoint in ein Drittland den geltenden Datenschutzgesetzen entspricht.

4.3 Wenn Guidepoint Übermittelte Personenbezogene Daten an den Kunden übermittelt, der nicht in einem Drittland ansässig ist, finden die Standardvertragsklauseln keine Anwendung. In solchen Fällen ist der Kunde dafür verantwortlich, sicherzustellen, dass jeder Export dieser Übermittelten Personenbezogenen Daten durch den Kunden in ein Drittland den geltenden Datenschutzgesetzen entspricht.Einbeziehung und Auslegung der Standardvertragsklauseln (einschließlich der UK-Zusatzvereinbarung, soweit zutreffend):

4.4 In Ergänzung zu Absatz ‎4.1‎4.1 werden die Standardvertragsklauseln hiermit durch Verweis in diese Vereinbarung einbezogen. Sofern die anwendbaren Abschnitte der Standardvertragsklauseln vom Datenexporteur und dem Datenimporteur die Auswahl eines Moduls verlangen, bestätigen die Parteien der Standardvertragsklauseln, dass Modul Eins der Standardvertragsklauseln (Übermittlung von Verantwortlichem zu Verantwortlichem) gemäß der nachstehenden Tabelle Anwendung findet.

Data Sharing Table

Parties' Roles	Applicable module in the Standard Contractual Clauses	Description of the transfer (to complete Annex I, Part B of the Standard Contractual Clauses)
Guidepoint (Data Importer): Controller Client or Client Affiliate (Data Exporter): Controller	Module One	Part A of the Appendix of this Data Sharing Addendum
Guidepoint (Data Exporter): Controller Client or Client Affiliate (Data Importer): Controller	Module One	Part B of the Appendix of this Data Sharing Addendum

4.5 Die Standardvertragsklauseln stellen eine separate Vereinbarung zwischen jedem Datenimporteur und Datenexporteur dar.Allgemeine Bestimmungen

4.6 Sollte eine Bestimmung oder ein Teil einer Bestimmung dieser Zusatzvereinbarung zur Datenweitergabe dazu führen, dass die Standardvertragsklauseln in dem betreffenden Erweiterten EWR-Land zu einem ungültigen Exportmechanismus werden, so gilt diese Bestimmung bzw. dieser Teil der Bestimmung als gestrichen. Dies berührt jedoch nicht die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen dieser Zusatzvereinbarung zur Datenweitergabe, und die Parteien verpflichten sich, in gutem Glauben eine Ersatzbestimmung auszuhandeln, die das beabsichtigte wirtschaftliche Ergebnis der ursprünglichen Bestimmung so weit wie möglich erreicht.

4.7 Sofern die Standardvertragsklauseln oder das Datenschutzrecht eines Erweiterten EWR-Landes nichts anderes vorschreiben, unterliegen die Standardvertragsklauseln dem Recht der Republik Irland und der Zuständigkeit der Gerichte der Republik Irland.

4.8 Für die Zwecke von Anhang I, Teil C (Zuständige Aufsichtsbehörde) der Standardvertragsklauseln ist die zuständige Aufsichtsbehörde:

(i) wenn der Datenexporteur in der EU ansässig ist, die Aufsichtsbehörde des EU-Mitgliedstaates, in dem der Datenexporteur seinen Sitz hat;

(ii) wenn der Datenexporteur außerhalb der EU in einem erweiterten EWR-Land ansässig ist, die Aufsichtsbehörde des erweiterten EWR-Landes, in dem der Datenexporteur seinen Sitz hat;

(iii) wenn der Datenexporteur in einem Land ansässig ist, das kein Erweitertes EWR-Land ist, und die Personenbezogenen Daten aus der EU stammen, die Aufsichtsbehörde in dem EU-Mitgliedstaat, in dem der Datenexporteur einen EU-Vertreter gemäß Artikel 27 Absatz 2 der DSGVO ernannt hat. Wurde kein EU-Vertreter ernannt, so ist die Aufsichtsbehörde die Aufsichtsbehörde der Republik Irland; und

(iv) wenn der Datenexporteur in einem Land ansässig ist, das kein Erweitertes EWR-Land ist, und die Personenbezogenen Daten aus einem Erweiterten EWR-Land stammen, das nicht der EU angehört, ist die Aufsichtsbehörde des Erweiterten EWR-Landes zuständig, aus dem die Personenbezogenen Daten stammen.

4.9 Vorbehaltlich des nachstehenden Absatzes 4.11 gilt: Wenn das betreffende Erweiterte EWR-Land, in dem der Datenexporteur seinen Sitz hat oder aus dem die Übermittelten Personenbezogenen Daten stammen, kein Mitgliedstaat der EU ist, beziehen sich die Verweise in den Standardvertragsklauseln auf:

(a) „Europäische Union“, „Union“, „EU“, einen „Mitgliedstaat“ oder einen „EU-Mitgliedstaat“ auf das betreffende Erweiterte EWR-Land, in dem der Datenexporteur seinen Sitz hat oder aus dem die Übermittelten Personenbezogenen Daten stammen;

(b) „Verordnung (EU) 2016/679“ bezieht sich auf die geltenden Datenschutzgesetze des Erweiterten EWR-Landes, in dem der Datenexporteur seinen Sitz hat oder aus dem die Übermittelten Personenbezogenen Daten stammen; und

(c) „Aufsichtsbehörde“ bezieht sich auf die zuständige Datenschutzbehörde im jeweiligen Erweiterten EWR-Land.

4.10 Wenn die Übermittlung PersonenBezogener Daten an den Datenimporteur der UK GDPR unterliegt, werden die Standardvertragsklauseln durch die UK-Zusatzvereinbarung ergänzt, und Teil 1 der genehmigten Zusatzvereinbarung wird wie folgt ergänzt:

(a) Tabelle 1. Das „Startdatum“ ist das Datum, an dem diese Zusatzvereinbarung zur Datenweitergabe in Kraft tritt. Die „Parteien“ sind der Kunde oder das mit dem Kunden Verbundene Unternehmen und Guidepoint oder das mit Guidepoint Verbundene Unternehmen.

(b) Tabelle 2. Modul Eins ist das Modul der Standardvertragsklauseln gemäß Absatz 4.4 dieser Zusatzvereinbarung zur Datenweitergabe.

(c) Tabelle 3. Die „Anhanginformationen“ sind in den Absätzen 4.11(a) bis 4.11(d) dieser Zusatzvereinbarung zur Datenweitergabe dargelegt.

(d) Tabelle 4. Die Parteien können die UK-Zusatzvereinbarung gemäß Klausel 19 der UK-Musterklauseln für das Vereinigte Königreich beenden.

4.11 Die Anhänge zu den Standardvertragsklauseln werden wie folgt ergänzt:

(a) Anhang I, Teil A (Liste der Parteien) der Standardvertragsklauseln ist unter Bezugnahme auf die jeweiligen Rollen des Kunden oder des mit dem Kunden Verbundenen Unternehmens und von Guidepoint oder des mit Guidepoint Verbundenen Unternehmens, wie in der entsprechenden Spalte „Rolle der Parteien“ der Tabelle in Absatz 4.4 oben dargelegt, sowie durch die Angaben zu diesen Parteien, wie sie in der Vereinbarung aufgeführt sind, zu ergänzen;

(b) Anhang I, Teil B (Beschreibung der Datenübermittlung) der Standardvertragsklauseln ist mit den Informationen aus dem entsprechenden Eintrag in der Spalte „Beschreibung der Datenübermittlung“ der Tabelle in Absatz 4.4 oben zu ergänzen;

(c) Anhang I, Teil C (Zuständige Aufsichtsbehörde) der Standardvertragsklauseln ist unter Bezugnahme auf den obigen Absatz ‎4.7 zu ergänzen; und

(d) Anhang II (Technische und organisatorische Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit) der Standardvertragsklauseln gilt hiermit als wie folgt ergänzt: Der Datenimporteur ergreift technische und organisatorische Sicherheitsmaßnahmen und erhält diese aufrecht, um die Personenbezogenen Daten des Datenexporteurs angemessen vor den mit der Verarbeitung Personenbezogener Daten für die in der Vereinbarung genannten Zwecke verbundenen Risiken sowie vor Risiken durch unbefugte oder unrechtmäßige Verarbeitung, Zerstörung, Beschädigung, Missbrauch und Verlust zu schützen, jeweils wie in Anhang 2 dieser Zusatzvereinbarung zur Datenweitergabe festgelegt, einschließlich aller einschlägigen Zusatzvereinbarungen oder Anlagen, in denen die Sicherheitsanforderungen festgelegt werden, wie z. B. eine Anlage zu den Sicherheitsanforderungen, sowie aller zusätzlichen technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur dem Datenexporteur von Zeit zu Zeit mitteilt.

4.12 Im Falle eines Widerspruchs zwischen den Standardvertragsklauseln und dieser Zusatzvereinbarung zur Datenweitergabe und/oder der Vereinbarung (einschließlich etwaiger Zusatzvereinbarungen) sind die Standardvertragsklauseln maßgebend.

5. Allgemein

5.1 Haftung

(a) Die Parteien vereinbaren, dass keine der in dieser Vereinbarung festgelegten Haftungsbeschränkungen oder -ausschlüsse für die Haftung einer Partei gegenüber Betroffenen Personen gemäß den Bestimmungen zugunsten Dritter der Standardvertragsklauseln gelten, soweit solche Beschränkungen oder Ausschlüsse durch die Datenschutzgesetze verboten sind.

(b) Ungeachtet des Absatzes 4.12 vereinbaren die Parteien, dass alle Haftungsverpflichtungen zwischen ihnen und/oder ihren Verbundenen Unternehmen gemäß den Standardvertragsklauseln den im Vertrag festgelegten Haftungsbeschränkungen und -ausschlüssen unterliegen, es sei denn, dies ist nach geltendem Recht unzulässig.

5.2 Rechtliche Wirkung

Diese Zusatzvereinbarung zur Datenweitergabe (die in die Vereinbarung aufgenommen wird und einen integralen Bestandteil derselben bildet) stellt die gesamte Vereinbarung und das gesamte Einverständnis zwischen den Parteien dar und ersetzt alle vorherigen und gleichzeitigen mündlichen und schriftlichen Verhandlungen, Vereinbarungen und Absprachen, sofern vorhanden, zu dem spezifischen Gegenstand dieser Zusatzvereinbarung zur Datenweitergabe. Diese Zusatzvereinbarung zur Datenweitergabe kann nur durch eine schriftliche Vereinbarung geändert werden, die von einem bevollmächtigten Vertreter jeder Partei unterzeichnet ist.

ANHANG 1

Einzelheiten zur Datenverarbeitung

TEIL A – Von Verantwortlichem zu Verantwortlichem (Guidepoint als Datenimporteur)

Kategorien von Betroffenen Personen, deren Personenbezogene Daten übermittelt werden:
Personal, das bei der Übermittelnden Kundengesellschaft beschäftigt ist.

• Arbeitnehmer (einschließlich Selbstständige)• Endnutzer• Unabhängige Auftragnehmer• Investoren• Eigentümer• Weitere relevante Personen im Zusammenhang mit dem Unternehmen

Kategorien Übermittelter Personenbezogener Daten:
Die Übermittelten Personenbezogenen Daten betreffen die folgenden Datenkategorien, die sich jeweils auf das Personal der Übermittelnden Kundengesellschaft beziehen:

1. Name
2. Kontaktdaten (einschließlich geschäftlicher E-Mail-Adresse, Postanschrift und Telefonnummer)
3. IP-Adressen
4. Browser-Cookies
5. Geräte-IDs
6. Sonstige Informationen, die nach dem Ermessen der Übermittelnden Kundengesellschaft zur Verfügung gestellt werden
7. Sonstige Informationen, die für den Betrieb des Unternehmens und die Bereitstellung von Dienstleistungen und Unterstützung für die Übermittelnde Kundengesellschaft erforderlich sind
8. Zugehörige Informationen, die mit personenbezogenen Daten verknüpft sind

Besondere Kategorien Übermittelter Personenbezogener Daten (falls zutreffend):
Keine

Art und Zweck(e) der Datenübermittlung und der weiteren Verarbeitung:
Der Kunde hat die Dienstleistungen von Guidepoint in Anspruch genommen, um gemäß der Vereinbarung Beratungsleistungen von Fachexperten aus dem globalen Expertennetzwerk von Guidepoint zu erhalten. Die bereitgestellten Daten, die sich auf die genannten betroffenen Personen beziehen, werden von Guidepoint verwendet, um dem Kunden oder der Übermittelnden Kundengesellschaft im Rahmen des normalen Geschäftsbetriebs Dienstleistungen und Support bereitzustellen. Dies umfasst die Kommunikation für verschiedene geschäftliche Zwecke, die Einhaltung gesetzlicher Vorschriften (einschließlich der DSGVO und der Dokumentation schriftlicher Anweisungen) sowie andere relevante, im Rahmen der Vereinbarung vorgesehene geschäftliche Verwendungszwecke.

Häufigkeit der Datenübermittlungen:
So regelmäßig wie erforderlich, um die im Rahmen der Vereinbarung vorgesehenen Dienstleistungen zu erhalten/zu erbringen.

Der Zeitraum, für den die Personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Bestimmung dieses Zeitraums verwendet werden:
Guidepoint bewahrt Personenbezogene Daten gemäß den Bestimmungen der Vereinbarung und ihrer geschäftlich angemessenen Richtlinien zur Dokumentenaufbewahrung auf.

TEIL B – Von Verantwortlichem zu Verantwortlichem (Guidepoint als Datenexporteur)

Kategorien von Betroffenen Personen, deren Personenbezogene Daten übermittelt werden:
Mitarbeiter und Berater von Guidepoint.

Kategorien Übermittelter Personenbezogener Daten:
Die Übermittelten Personenbezogenen Daten betreffen die folgenden Datenkategorien, die sich jeweils auf Mitarbeiter von Guidepoint und dessen Berater beziehen:

1. Name
2. Kontaktdaten (einschließlich geschäftlicher oder privater E-Mail-Adresse, Postanschrift und Telefonnummer)
3. IP-Adressen
4. Browser-Cookies
5. Geräte-IDs
6. Sonstige Informationen, die nach dem Ermessen der Übermittelnden Kundengesellschaft zur Verfügung gestellt werden
7. Sonstige Informationen, die für den Betrieb des Unternehmens und die Bereitstellung von Dienstleistungen und Unterstützung für die Übermittelnde Kundengesellschaft erforderlich sind
8. Zugehörige Informationen, die mit personenbezogenen Daten verknüpft sind

Besondere Kategorien Übermittelter Personenbezogener Daten (falls zutreffend):
Keine

Art und Zweck(e) der Datenübermittlung und der weiteren Verarbeitung:
Der Kunde hat die Dienstleistungen von Guidepoint in Anspruch genommen, um gemäß der Vereinbarung Beratungsleistungen von Fachexperten aus dem globalen Expertennetzwerk („Beratern“) von Guidepoint zu erhalten. Die bereitgestellten Daten, die sich auf die genannten betroffenen Personen beziehen, werden von Guidepoint verwendet, um dem Kunden oder der Übermittelnden Kundengesellschaft im Rahmen des normalen Geschäftsbetriebs Dienstleistungen und Support bereitzustellen. Dies umfasst die Kommunikation für verschiedene geschäftliche Zwecke, die Einhaltung gesetzlicher Vorschriften (einschließlich der DSGVO und der Dokumentation schriftlicher Anweisungen) sowie andere relevante, im Rahmen der Vereinbarung vorgesehene geschäftliche Verwendungszwecke.

Häufigkeit der Datenübermittlungen:
So regelmäßig wie erforderlich, um die im Rahmen der Vereinbarung vorgesehenen Dienstleistungen zu erhalten/zu erbringen.

Der Zeitraum, für den die Personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Bestimmung dieses Zeitraums verwendet werden:
Der Kunde (einschließlich der mit dem Kunden verbundenen Unternehmen) bewahrt die PersonenBezogenen Daten gemäß den Bestimmungen der Vereinbarung auf.

Für Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben:
K.A.

ANHANG 2

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT

Der Datenimporteur hat mindestens die folgenden Maßnahmen umzusetzen:

• Schriftliche Sicherheitsrichtlinie oder -plan
• Plan zur Wiederherstellung im Katastrophenfall
• Einsatzplan für Notfälle
• Netzwerksegmentierung
• Firewalls
• Vorrichtungen zur Verhinderung von Eindringlingen
• Verschlüsselung während der Übermittlung und im Ruhezustand
• Antivirus-Schutz
• Passwort-Programm
• Rollenbasierter Zugriff
• Regelmäßiges Patchen und Aktualisieren von kritischen Systemen und anderen mit kritischen Systemen verbundenen Systemen
• Schulung der Nutzer
• Mitarbeiterhandbuch
• Anti-Spam-Kontrollen
• Sichere Programmierpraktiken